具有組授權的 SSH jumpbox

我正在嘗試設置 SSH Jumpbox。登錄 Jumpbox 的使用者需要能夠根據他們的組授權到另一個 SSH 伺服器。

（UserA 在 Project1 組，UserB 在 Project2 組，UserA 應該能夠 ssh 到 project1.com，但不能進入 UserB）

有沒有辦法在 Jumpbox 級別上實現這一點？

假設 jumpbox 是一個 linux 盒子，iptables可以在OUTPUT鏈上有用地限制哪些組成員可以連接到哪些伺服器。就像是

iptables -A OUTPUT --gid-owner project1 -p tcp --dport 22 -d ip.of.project1.com -j ACCEPT
iptables -A OUTPUT --gid-owner project1 -j REJECT
iptables -A OUTPUT --gid-owner project2 -p tcp --dport 22 -d ip.of.project2.com -j ACCEPT
iptables -A OUTPUT --gid-owner project2 -j REJECT

它有一個方便的副作用，即限制 project1 組的成員除了ssh’ing 到 project1.com 之外的任何事情，對於 project2 和 project2.com 也是如此。如果您限制流量，您可能還需要INPUT鏈中的一些相應規則。INPUT

引用自：https://serverfault.com/questions/410276